Евгений

Из свежих сталкивался с Risk Manager от R-vision https://rvision.pro/modules/risk_manager/
Из старых РискМенеджер от Института системного анализа РАН www.srisks.ru

Обязательной сертификации СЗИ в 31 приказе нет. Есть обязательна оценка соответствия, это следствие того, что не для всех промышленных процессов существуют сертифицированные решения.

11. В автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.

Если же вы применяете сертифицированные СЗИ, то никакой отдельной линии по сертификации для АСУ ТП нет. Используйте Государственный реестр СЗИ , и требования к классам защиты из 24 пункта 31 приказа.
ФСТЭК это разъяснял в своем информационном сообщении

3. По вопросам применения в автоматизированных системах управления производственными и технологическими процессами средств защиты информации.
В соответствии с пунктом 11 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, в автоматизированных системах управления производственными и технологическими процессами применяются средства защиты информации, прошедшие оценку соответствия в соответствии с законодательством Российской Федерации о техническом регулировании.
При этом формы оценки соответствия средств защиты информации установлены частью 3 статьи 7 Федерального закона от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» (испытания, подтверждение соответствия (обязательная сертификация, добровольная сертификация, декларирование соответствия), приемка и ввод в эксплуатацию, иные формы).
В соответствии с пунктом 13 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, требования к защите информации в автоматизированной системе управления производственными и технологическими процессами устанавливаются заказчиком и включаются в техническое задание на создание (модернизацию) автоматизированной системы управления и (или) техническое задание (частное техническое задание) на создание системы защиты автоматизированной системы управления.
Таким образом, в автоматизированной системе управления применяются средства защиты информации, прошедшие оценку соответствия в форме, установленной заказчиком в техническом задании в соответствии с Федеральным законом «О техническом регулировании».
При этом пунктом 24 Требований, утвержденных приказом ФСТЭК России от 14 марта 2014 г. N 31, установлены классы средств защиты информации, применяемые в автоматизированной системе управления производственными и технологическим процессами, в случае если заказчиком принято решение об использовании средств защиты информации, прошедших оценку соответствии в форме обязательной сертификации.

Класов сейчас нет. К1 это устаревшая классификация.
Изучайте Постановление Правительства №1119 и определяйте требуемый уровень защищенности (УЗ).
При определении УЗ считайте, что для вас неактуальны угрозы 1-ого и 2-ого типа (недекларируемые возможности в системном и прикладном ПО) иначе требования к средсвам защиты информации у вас будут жесткие.
По шифрованию читайте приказ ФСБ №378
Меры описаны в 21 приказе ФСТЭК. От сертифицированных решений вам будет уйти сложно, тем более если вы будете предлагать это как услугу.
Учтите, что для установки сертифицированных СКЗИ необхожима лицензия ФСБ, в вашем случае необходимо будет приглашать лицензианта.
Вообще тема создания СЗПДн сложная и объемная, приходится идти на компромиссы между функциалом и выполнением закона.

Можно, но для защиты от регуляторов надо аккуратно написать документы и передавать в облако уже зашифрованный контейнер, чтобы данные не шли по сети без защиты
Главным документом для вас будет являть Модель угроз и Модель нарушителя, где вы рассматриваете ваш дамп как отдельную ИСПДн.
1. В Модели нарушителя исключаете всякие спецразведки и т.д., и признаёте актуальными нарушителей только класса Н1 (по классификации ФСБ, это внешний нарушитель, действующий без помощи изнутри).
2. При определении актуальных угроз по Постановлению Правительства 1119 принимаете для себя неактуальными угрозы 1-ого и 2-ого типа (угрозы недекларируемых возможностей системном и прикладном ПО).
3. В Модели угроз указываете, что обеспечение для обеспечения конфиденциальности вы используете сертифицированное СКЗИ класса КС1. По мнению наших регуляторов ГОСТ является единственным нерушимым средством обеспечения конфиденциальности, так что передача такого контейнера безопасна.
Ну и заодно выполняете требования приказов ФСТЭК №21 и ФСБ №378.
Надо конечно смотреть внимательнее на вашу систему, на вариант вполне реальный.

Не смотря на то что в самом законе 152-ФЗ об этом и правда нет таких требований, сам закон существует не один, и как уже написал @OLS, есть Приказы №21 (для защиты ПДн) и №17 (для ГИС), где указываются общие меры защиты защиты без конкретики.
В феврале 2014 ФСТЭК выпустил методичку "Меры защиты информации в государственных информационных системах" fstec.ru/tekhnicheskaya-zashchita-informatsii/doku... , где расписывает как он видит выполнение каждой из мер. (Т.к. меры в 21 и 17 приказе практически идентичны, то данную методичку можно использовать и для защиты ПДн)
Таким образом для минимального четвертого уровня защищенности ПДн, "в случае использования в ИС механизмов аутентификации на основе пароля (иной последовательности символов, используемой для аутентификации) или применения пароля в качестве одного из факторов многофакторной аутентификации, его характеристики должны быть следующими:
• длина пароля не менее 6 символов
• алфавит пароля не менее 30 символов
• максимальное количество неуспешных попыток аутентификации (ввода неправильного пароля) до блокировки от 3 до 10 попыток
• блокировка программно-технического средства или учетной записи пользователя в случае достижения установленного максимального количества неуспешных попыток аутентификации от 3 до 15 минут
• смена паролей не более чем через 180 дней"(с)